Wallet drainer adalah smart contract atau skrip berbahaya yang, setelah pengguna menandatangani transaksi atau tanda tangan permit off-chain, segera menyapu semua token dan NFT dari dompet korban ke alamat yang dikendalikan penyerang — tidak seperti peretasan tradisional yang mengeksploitasi kode protokol, wallet drainer menargetkan pengguna secara langsung melalui rekayasa sosial, situs phishing, dan airdrop NFT berbahaya, dan pengosongan terjadi dalam hitungan detik dengan dana yang biasanya tidak dapat dipulihkan.

---

Cara Kerja

Wallet drainer mengeksploitasi mekanisme penandatanganan Ethereum yang sah daripada kerentanan kode:

Metode 1: Penyalahgunaan Tanda Tangan Seaport / Blur

Penyerang membuat situs phishing yang meniru mint NFT atau marketplace yang sah. Pengguna diminta untuk “mengklaim” sesuatu dengan menandatangani order Seaport off-chain. Tanda tangan ini — meskipun tidak memerlukan gas — mengotorisasi transfer NFT pengguna ke penyerang.

Metode 2: Tanda Tangan Permit (EIP-2612)

Token ERC-20 dengan dukungan permit memungkinkan persetujuan token melalui tanda tangan off-chain. Drainer menyajikan situs palsu yang meminta pengguna menandatangani permit yang memberikan izin tak terbatas ke kontrak penyerang.

Metode 3: approve() + transferFrom() Tak Terbatas

Pengguna dikelabui untuk memanggil approve() pada kontrak berbahaya, memberikannya izin token tak terbatas. Kontrak drainer segera memanggil transferFrom() untuk mengambil semua token.

Metode 4: Airdrop NFT Berbahaya

NFT di-airdrop ke pengguna. Ketika mereka mencoba melihat atau berinteraksi dengannya, metadata NFT memicu situs phishing atau permintaan interaksi dompet.

---

Drainer-as-a-Service (DaaS)

Sejak 2022, pasar gelap menawarkan kit drainer siap pakai yang dapat digunakan siapa saja dengan imbalan persentase dana yang dicuri (biasanya 20-30%). Kit terkenal termasuk Inferno Drainer (menguras ~$80 juta sebelum ditutup pada 2023), Pink Drainer, Venom Drainer, dan Angel Drainer.

Siklus serangan tipikal:

1. Penyerang menyewa kit drainer
2. Menjalankan kampanye phishing: media sosial palsu, akun Discord/Twitter yang dikompromikan
3. Pengguna mendarat di situs phishing dan menghubungkan dompet
4. Pengguna menandatangani permintaan tanda tangan “tidak berbahaya”
5. Skrip drainer memantau mempool dan mengirimkan transaksi pengosongan
6. Dana dijembatani melalui mixer (Tornado Cash) dan meja OTC

---

Pencegahan

• Jangan pernah menandatangani transaksi dari situs yang tidak dikenal
• Verifikasi URL dengan hati-hati sebelum menghubungkan dompet
• Gunakan alat pengecekan izin (revoke.cash) secara berkala
• Manfaatkan simulasi transaksi di dompet seperti MetaMask Snaps atau Rabby
• Simpan sebagian besar aset di dompet cold storage terpisah

---

Sentimen Media Sosial

Wallet drainer adalah ancaman keamanan yang sangat dikenal di komunitas kripto Indonesia. Banyak kasus kehilangan dana akibat phishing terjadi di kalangan pengguna Indonesia. Terakhir diperbarui: 2026-04

Istilah Terkait

• Phishing Kripto
• Token Approval
• Keamanan Dompet Web3
• Smart Contract

Lihat Juga

• Mengapa Audit Smart Contract Gagal
• Jembatan Kripto dan Keamanan
• Tukar kripto dengan ChangeNOW

Sumber

• Revoke.cash (https://revoke.cash) — Alat untuk memeriksa dan mencabut persetujuan token berbahaya dari dompet Ethereum.
• MetaMask Security Center (https://metamask.io/security/) — Panduan MetaMask tentang melindungi diri dari wallet drainer dan phishing.
• Chainalysis: Crypto Scams Report (https://www.chainalysis.com/blog/crypto-scam-revenue-2023/) — Analisis tentang volume dan jenis penipuan kripto termasuk drainer.
• CoinDesk: Inferno Drainer Coverage (https://www.coindesk.com/search?q=inferno+drainer) — Liputan tentang kasus wallet drainer besar.
• Etherscan Token Approvals (https://etherscan.io/tokenapprovalchecker) — Alat on-chain untuk memeriksa izin token aktif.